El spear phishing es un ataque por correo electrónico dirigido que finge proceder de un remitente de confianza. En los ataques de spear phishing, los atacantes suelen utilizar la información obtenida de la investigación para tranquilizar al destinatario. El objetivo final es infectar los dispositivos con malware convenciendo al destinatario para que haga clic en un enlace o descargue un archivo adjunto, o para inducirle a realizar alguna otra acción que beneficie al atacante, normalmente entregando información o dinero.
Los mensajes de spear phishing suelen estar cuidadosamente elaborados con técnicas de ingeniería social deletéreas y es difícil defenderse de ellos con medios puramente técnicos. «Lo que es importante tener en cuenta sobre el spear phishing es que el individuo que está siendo objeto de este tipo de fraude no es a menudo el objetivo real», dice J.R. Cunningham, CSO de Nuspire, un proveedor de servicios de seguridad gestionados con sede en Michigan. «Más bien, lo más probable es que su entorno empresarial sea el objetivo final del atacante».
Phishing vs. spear phishing vs. whaling
El phishing, el spear phishing y el whaling son todos tipos de ataques por correo electrónico, siendo el phishing una categoría más amplia de ciberataques que incluye prácticamente cualquier uso del correo electrónico u otros mensajes electrónicos para engañar a la gente, mientras que el spear phishing y el whaling son sólo dos tipos diferentes de ataques de phishing.
La mayoría de los ataques de phishing adoptan la forma de mensajes genéricos enviados automáticamente a miles de destinatarios y redactados de forma que resulten atractivos para el lector. El archivo adjunto puede referirse, por ejemplo, al salario del destinatario o los enlaces del correo electrónico pueden llevar a un sitio de lotería falso, pero no se intenta relacionar el contenido del mensaje con una persona concreta que pueda recibirlo. El nombre deriva de la palabra «pesca» y la analogía es la de un pescador que lanza un anzuelo cebado (el correo electrónico de phishing) y espera que alguna víctima muerda el anzuelo.
El spear phishing, como su nombre indica, consiste en intentar pescar un pez específico. Un correo electrónico de spear phishing incluye información específica para el destinatario con el fin de convencerle de que realice la acción que el atacante quiere que haga. El mensaje menciona claramente el nombre del destinatario y el correo electrónico puede incluir información sobre el trabajo o la vida personal del destinatario que los atacantes pueden recopilar de diversas fuentes.
Otro término que puede haber oído en este ámbito es el de caza de ballenas, un tipo específico de pesca submarina que persigue a «peces» especialmente grandes. «El whaling es un tipo de spear phishing centrado en personajes públicos, altos ejecutivos u otros grandes objetivos», afirma Jacob Ansari, Security Advocate y Analista de Cibertendencias Emergentes de Schellman.
Cómo funcionan los ataques de spear phishing
La forma en que los atacantes obtienen la información personal que necesitan para crear un correo electrónico de spear phishing es una técnica clave en la preparación de estos ataques dirigidos, ya que todo el proceso del ataque depende de que los mensajes sean creíbles para el destinatario.
Hay varias formas en las que un atacante puede reunir esta información. Uno de ellos consiste en comprometer un sistema de correo electrónico o de mensajería por otros medios, como por ejemplo a través de la suplantación de identidad normal o a través de una vulnerabilidad en la infraestructura del correo electrónico. Pero éste es sólo el primer paso del proceso. «El correo electrónico de alguien dentro de la organización objetivo se ve comprometido y el atacante permanece en la red durante un tiempo para supervisar y seguir las conversaciones interesantes», explica Ori Arbel, CTO de CYREBRO, un proveedor de plataformas de operaciones de seguridad con sede en Tel Aviv. «Cuando llega el momento, los atacantes envían un correo electrónico a la víctima prevista utilizando un contexto creíble con información precisa y verosímil, como recordando conversaciones pasadas o refiriéndose a cantidades concretas de una transferencia de dinero anterior.»
Si un usuario malintencionado no puede penetrar en el sistema de comunicación, también podría recurrir a la inteligencia de código abierto (OSINT), analizando cuidadosamente las redes sociales o las comunicaciones corporativas para hacerse una idea de su objetivo. Jorge Rey, responsable de ciberseguridad y cumplimiento normativo en Kaufman Rossin, una consultora con sede en Nueva York, explica un vector de ataque común del que ha tenido experiencia de primera mano.
«Cuando la gente hace un cambio en su LinkedIn y anuncia que se ha unido a Kaufman Rossin, en cuestión de horas o incluso minutos recibe un correo electrónico de nuestro director general (no desde su correo electrónico de Kaufman Rossin, sino desde una dirección de gmail.com) pidiéndoles que compren vales de regalo y cosas así.» Evidentemente, este correo electrónico no procede en absoluto del director general, sino de un atacante que espera pillar desprevenido a un nuevo empleado. «Estos bots monitorizan continuamente LinkedIn a través de scripts y envían información esperando que alguien caiga en la trampa».
Si los atacantes pueden recopilar información personal de su presencia en línea, tratarán de utilizarla en su beneficio. Cunningham, de Nuspire, da un ejemplo de un cliente conocedor de la seguridad que estuvo a un paso de ser víctima del spear phishing. «Este cliente recibió un correo electrónico supuestamente de su compañía de seguros en el que se le informaba de la actualización de un expediente de seguro; hizo clic en el enlace para darse cuenta inmediatamente de que se trataba de un ataque de phishing. Al parecer, esta persona había sufrido recientemente un accidente de tráfico y había publicado fotos de su coche en las redes sociales, junto con un comentario de que su aseguradora había sido muy rápida en responder a la solicitud. Este puesto proporcionó al atacante la información del seguro de la víctima, que luego se utilizó para crear el correo electrónico de spear phishing.»
Los signos del spear phishing
Los defraudadores se centran en los nuevos empleados porque aún no se han adaptado al nuevo entorno empresarial. Probablemente el principal «síntoma» de un correo electrónico de spear phishing, suponiendo que el atacante haya recopilado toda su información personal necesaria para el ataque, es que le pedirá que haga algo inusual o fuera de los canales de la empresa. A los nuevos empleados les puede resultar difícil darse cuenta de que las peticiones se salen de lo normal, pero siempre hay que hacer caso a su instinto.
«Un correo electrónico fue enviado a varias personas de una empresa para la que trabajaba por un remitente desconocido que imitaba a su director general», dice Wojciech Syrkiewicz-Trepiak, ingeniero de seguridad de spacelift.io. «El atacante superó todos los mecanismos de seguridad, ya que utilizó una dirección de correo electrónico real. Sin embargo, el dominio de la dirección de correo electrónico era Gmail (no el dominio de la empresa) y el mensaje pedía tareas urgentes, lo que nos hizo sospechar de inmediato.»
La urgencia es, en efecto, otra señal de alarma. Claro que, en un entorno profesional, a menudo recibimos peticiones legítimas para actuar con rapidez, pero cuando alguien intenta meternos prisa, es señal de que no nos está dando la oportunidad de pararnos a pensar. «Mi experiencia personal tiene su origen en una campaña de phishing selectivo de tarjetas de regalo», afirma Massimo Marini, analista principal de seguridad y cumplimiento de la normativa en la empresa consultora Kuma LLC. «Esta estafa requería que el objetivo comprara tarjetas de regalo bajo la supuesta dirección de su supervisor. La víctima compraba estas tarjetas regalo y luego, a través de correos electrónicos de seguimiento, proporcionaba el código al atacante. He visto que esto le ocurrió a una ejecutiva que se sintió presionada por su «jefe» para comprar rápidamente tarjetas para un regalo secreto. Todo, afortunadamente, se interrumpió en el último momento cuando la ejecutiva habló con su verdadero jefe, que obviamente no sabía nada.»
Ejemplos de spear phishing
Si tiene curiosidad por saber cómo son los correos electrónicos de spear phishing, aquí tiene un par de ejemplos de la vida real. La primera viene de William Méndez, director general de operaciones de la consultora neoyorquina CyZen. «Esto (la foto de abajo) es un correo electrónico dirigido a una empresa de contabilidad. Los atacantes se refieren a una tecnología CCH, comúnmente utilizada por dichas empresas».
«Este correo electrónico se envió durante la temporada de la declaración de la renta (que suele ser la época más ajetreada del año para las empresas de contabilidad), cuando los usuarios están muy ocupados y pueden no prestar mucha atención a los correos electrónicos que reciben. El correo electrónico también utiliza el arma del miedo al afirmar que el acceso de la víctima se cortará a menos que tome algún tipo de acción. En ese caso, la acción consiste en hacer clic en un enlace que muy probablemente dirija al usuario a un sitio en el que el atacante pueda recopilar nombres de usuario y contraseñas u otra información sensible.»
Tyler Moffitt, analista de seguridad senior de la consultora OpenText Security Solutions, con sede en Ontario, presenta otro ejemplo, que parece ser una alerta de seguridad de Twitter.
Este mensaje intenta hacer creer a la víctima que Twitter está protegiendo su cuenta y le pide, por razones de seguridad, que introduzca la contraseña de su cuenta. «El objetivo en este caso es un periodista específicamente señalado, probablemente por su cobertura de los acontecimientos en Ucrania/Rusia», explica Moffitt. «El mensaje informa al usuario de que se ha accedido a su cuenta en Rusia y que, por lo tanto, debe restablecer su contraseña mediante el siguiente enlace. Este enlace, por supuesto, lleva a un falso restablecimiento de la contraseña, que permite al atacante recuperar las credenciales de la víctima.
Cuando reciba un mensaje de este tipo, debe tener mucho cuidado y asegurarse de que la página web a la que apunta el enlace es el dominio real al que cree que va. En este caso, si se lee el encabezado, se observará que el correo electrónico intenta enviar a la víctima a twitter-supported.com, que no es un dominio real utilizado por Twitter.
Cómo prevenir el spear phishing
Sería estupendo que existieran medidas precisas e infalibles para detener por completo los ataques de spear phishing, pero no es el caso. Sin embargo, hay algunas prácticas que pueden ayudar en este sentido. «Cuando se trata de ciberseguridad, el mismo principio de protección de la cartera física se aplica a la actividad en línea», dice Nick Santora, fundador de Curricula, un proveedor de formación en seguridad con sede en Atlanta. «Nadie quiere convertirse en una víctima, por lo que debemos explicar a todo el mundo por qué es importante habilitar la autenticación de dos factores o multifactor (2FA/MFA), utilizar contraseñas complejas y únicas para cada cuenta, y otras prácticas de seguridad que ahora deberían considerarse comunes e inevitables.»
Rey, de Kaufman Rossin, insta a potenciar las soluciones de seguridad del correo electrónico integrando todo lo de su proveedor de correo electrónico con una solución de terceros para ayudar a filtrar el spam y los archivos adjuntos maliciosos. Pero la mejor defensa contra los ataques de ingeniería social, como el spear phishing, sigue siendo la inteligencia humana, y eso requiere una formación que enseñe a las personas a estar continuamente alerta.
«Una simulación de phishing marca una gran diferencia», dice Rey. «Una cosa es utilizar PowerPoint y mostrar un correo electrónico de phishing. Otra cosa es recibir algo por correo, hacer clic en el enlace que hay dentro y recibir un mensaje de advertencia sobre la suplantación de identidad. Con una simulación, se entiende mucho mejor cómo funcionan estos ataques porque se experimentan de primera mano.
En definitiva, la mejor manera de prevenir el spear phishing es extremar siempre las precauciones. «Las estafas de phishing suelen proceder de contactos de confianza cuyas cuentas de correo electrónico han sido comprometidas o clonadas», afirma el analista de ciberseguridad Eric Florence. «Nuestro deseo de confiar en la gente, de creer que la mayoría de las personas tienen buena reputación, es lo que se explota en cada ataque de phishing y este deseo debe ser desterrado, al menos durante las horas de trabajo».
Fuente Kaspersky
